Rodrigo Brito

HTTPS esconde segredos, mas com as ferramentas certas, nenhuma comunicação fica criptografada para sempre

No cenário de cibersegurança, o uso do protocolo HTTPS por malwares é um grande desafio para analistas, pois a criptografia dificulta a inspeção do tráfego de rede. Este post explora uma análise prática do malware ghyte.exe, demonstrando como contornar essa barreira com ferramentas como INetSim e Fiddler para entender o comportamento malicioso oculto atrás da criptografia.

Quando o malware é executado, com o fakedns e WireShark prontos para a coleta de informações, é possível verificar uma requisição ao domínio talonstamed.com, contudo, o artefato realizada uma tentativa de comunicação via protocolo HTTPS, executando uma conexão TCP na porta 443:

Desta forma, não há possibilidade de visualização de dados do payload, pois o conteúdo está encriptado.

Como mecanismo para oferecer recursos de comunicação com o malware e permitir a continuidade da análise deste, podemos usar o INetSim, um emulador de HTTPS e diversos outros protocolos de rede. Para o utilizar o InetSim o serviço httpd service deve estar inativo, para evitar conflito, contudo, o fakedns pode ser utilizado em conjunto opcionalmente. Para o utilizar é utilizado o comando inetsim:

O INetSim responde com um executável padrão:

Isto significa que o malware requisitou um programa via download e o executou.  Com o Process Hacker é possível verificar que o arquivo se encontra em um diretório temporário:

No arquivo /var/log/inetsim/service.log é possível verificar os dados de conexão:

sudo more /var/log/inetsim/service.log

Nota-se ainda a utilização de um valor de User-Agent para tentar manipular a verificação, para aparentar a execução de um agente de update do próprio sistema operacional.

Alternativamente o Fiddler pode ser utilizado para inspecionar localmente as requisições, com a capacidade de capturar  e decodificar o tráfego utilizando HTTPS, através das suas opções de configurações:

Após é necessário habilitar as regras no AutoResponder:

Reinfectando o host:

Observa-se que a resposta apresenta um erro, pois a resposta do Fiddler não gera um executável válido. Contudo, é uma forma simples de analisar o comportamento do malware.

Conclusão

Analisar malwares que utilizam HTTPS requer uma combinação de ferramentas adequadas e conhecimento técnico. Com o uso de emuladores de serviços como o INetSim e interceptadores como o Fiddler, é possível superar as limitações impostas pela criptografia e obter informações críticas sobre as ações do malware. Essa abordagem é fundamental para fortalecer as defesas contra ameaças que usam HTTPS para mascarar suas atividades.